Home Ciberguerra Prolífica campaña china de amenazas, apunta a más de 100 víctimas

Prolífica campaña china de amenazas, apunta a más de 100 víctimas

Investigadores han revelado una importante campaña china de ciberespionaje que podría estar vinculada a la oscura empresa de “ciberseguridad” I-Soon.

Trend Micro afirmó que la campaña Earth Krahang APT comparte múltiples conexiones con un actor chino previamente descubierto llamado Earth Lusca, que se sospecha que es el equipo de penetración detrás de I-Soon.

Esa empresa, que parece ser un contratista del gobierno chino, salió a la luz por primera vez después de una filtración de GitHub el mes pasado.

“Utilizando esta información filtrada, descubrimos que la empresa organizó su equipo de penetración en dos subgrupos diferentes”, afirmó Trend Micro. “Esta podría ser la posible razón por la que vimos dos grupos independientes de actividades activas en la naturaleza pero con una asociación limitada. Earth Krahang podría ser otro equipo de penetración de la misma empresa”.

Se ha observado que Earth Krahang apuntaba a 116 organizaciones en 35 países, 70 de las cuales estaban comprometidas y la mayoría estaban ubicadas en el sudeste asiático.

“Descubrimos que al menos 48 organizaciones gubernamentales se vieron comprometidas y otras 49 entidades gubernamentales fueron atacadas. Los ministerios y departamentos de Asuntos Exteriores fueron el principal objetivo, comprometiendo a 10 de esas organizaciones y atacando a otras cinco”, afirma el informe.

Trend Micro creó una imagen de la campaña después de que los errores del actor le permitieran recuperar archivos de configuración y registro de las herramientas de ataque.

“Una de las tácticas favoritas del actor de amenazas implica utilizar su acceso malicioso a la infraestructura gubernamental para atacar a otras entidades gubernamentales, abusar de la infraestructura para alojar cargas útiles maliciosas, tráfico de ataques proxy y enviar correos electrónicos de phishing a objetivos relacionados con el gobierno utilizando cuentas de correo electrónico gubernamentales comprometidas. ”, explica el informe.

“Earth Krahang también utiliza otras tácticas, como construir servidores VPN en servidores públicos comprometidos para establecer acceso a la red privada de las víctimas y realizar ataques de fuerza bruta para obtener credenciales de correo electrónico. Estas credenciales se utilizan luego para filtrar los correos electrónicos de las víctimas, siendo el objetivo final del grupo el ciberespionaje”.

El actor también robó cientos de direcciones de correo electrónico de los objetivos durante su fase de reconocimiento. En un caso, utilizó un buzón gubernamental comprometido para enviar un archivo adjunto malicioso a casi 800 direcciones de correo electrónico pertenecientes a la misma entidad, dijo Trend Micro.